09 73 64 49 32 contact@cybervigilance.fr

Le sénat a adopté le projet de loi relatif à la protection des données personnelles le Mercredi 21 mars 2018. Ce projet de loi a pour but de mettre la France en conformité avec le Règlement Général sur la Protection des Données (RGPD), un texte européen qui entrera en vigueur le 25 mai 2018.

Ce texte est censé changer radicalement les pratiques actuelles de collecte et d’utilisation des données personnelles.

Quelles sont les mesures principales ?

Un des changements majeurs apportés par le RGPD, c’est le consentement du consommateur et son information quant à l’utilisation qui va être faite de ses données.

Il sera désormais obligatoire d’obtenir un consentement clair et explicite du consommateur avant de collecter ses données. Il faudra également l’informer de l’utilisation qui sera faite de ces données : démarchage commercial, analyses statistiques, vente à des tiers…

Vous en avez donc terminé avec les formulaire qu’il faut lire attentivement pour être certain qu’une case « je souhaite recevoir des informations et des offres de la société XX et de ses partenaires » n’est pas déjà cochée, que la formulation de la question ne porte pas à confusion en étant interronégative : « En cochant cette case vous n’acceptez pas d’être contacté par la société XX et ses partenaires » et qu’il n’est pas écrit en tout petit au fond des conditions générales que vos données pourront être revendues à des tiers sans votre accord.

Le RGPD contient également d’autres mesures importantes :

  • Violation de données personnelles:
    Les DPO (responsables de traitement) auront 72h pour déclarer aux autorités une violation de données personnelles. En cas de risques élevés, les entreprises devront également prévenir toutes les personnes concernées.
  • Privacy by design ou by default:
    Cela signifie que les entreprises devront dés la conception de leur système d’information, inclure la problématique de traitement des données pour assurer un niveau de sécurité maximum.
  • Des amendes revues à la hausse:
    En cas d’infraction, une entreprise risquera une amende pouvant aller jusqu’à 20 millions d’euros ou 4% de son chiffre d’affaire.
  • Un cadre étendu:
    Les sous-traitants y compris hors Union Européenne sont concernés à partir du moment où ils traitent des données de citoyens européens.


Qu
’est-ce que cela change concrètement pour une TPE-PME ?

Pour une PME de moins de 250 salariés, certaines obligations ne s’appliquent pas à moins qu’elles ne traitent des données personnelles à grande échelle. Par exemple l’obligation de nommer un DPO (ou responsable de traitement, mais aussi l’obligation de consigner dans un registre leurs activités de traitement de données).

Il faut mettre en conformité les conditions contractuelles et juridiques (conditions générales de vente par exemple).

Vous devez à travers tous les services de votre entreprise étudier le traitement qui est fait des données, leur stockage et conditions dans lesquelles elles sont utilisées.

Si vous travaillez avec des grands groupes, vous aurez probablement l’obligation de démontrer que vous respectez le RGPD pour continuer vos activités communes.

Le montant des sanctions annoncées est très dissuasif.